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Geachte heer Asscher, 

Hierbij ontvangt u ter kennisname de programmarapportage "De burger bediend 
in 2013" van de Inspectie SZW. 

De samenvatting en het oordeel treft u aan in het eerste hoofdstuk. Het oordeel is 
gebaseerd op uitkomsten en conclusies van twee onderzoeken die de Inspectie dit 
jaar heeft uitgevoerd. Het eerste onderzoek is een onderzoek naar 
gegevensuitwisseling in de periode 2010 - 2013. Het tweede onderzoek gaat over 
de beveiliging van suwinet door gemeenten (zie hiervoor hoofdstuk 5). 

Ik heb de staatssecretaris verzocht om de programmarapportage aan te bieden 
aan de Eerste en Tweede Kamer. 

Hoogachtend, 
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Voorwoord 



Met de verdergaande digitalisering wisselen de uitvoeringsorganisaties UWV en SVB 
en gemeenten (samen: de SUWI-partners) onderling steeds meer gegevens uit. 
Hierdoor nemen ook de risico's ten aanzien van gegevensuitwisseling toe. Het is 
daarom van groot belang dat de bescherming van persoonsgegevens en de borging 
van gegevenskwaliteit op orde zijn en de burger transparantie wordt geboden over 
de uitwisseling en verwerking van zijn persoonsgegevens. 

In deze programmarapportage beschrijft de Inspectie SZW hoe de gegevensuitwis- 
seling binnen de sector werk en inkomen zich in de periode 2010 - 2013 heeft ont- 
wikkeld. De rapportage gaat in op de wijze waarop de SUWI-partners de bij hen 
beschikbare gegevens over de burger hergebruiken en hoe zij daarbij invulling ge- 
ven aan de bescherming van persoonsgegevens, borging van gegevenskwaliteit en 
transparantie. Ook rapporteert de inspectie de uitkomsten van een onderzoek naar 
de beveiliging van Suwinet bij gemeenten, dat zij op verzoek van de staatssecretaris 
van SZW heeft uitgevoerd. De rapportage sluit af met een oordeel. 
Met deze rapportage sluit de inspectie het programma Informatieprocessen af, 
waarin zij vanaf 2010 onderzoek deed naar de digitalisering van de dienstverlening 
binnen de sector werk en inkomen. 



Mr. J.A. van den Bos 

Inspecteur-generaal 

Sociale Zaken en Werkgelegenheid 
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1 Samenvatting en oordeel 



1.1 Inleiding en probleemstelling 

De dienstverlening binnen de sector werk en inkomen is in de afgelopen jaren sterk 
gedigitaliseerd. De uitvoeringsorganisaties UWV en SVB en gemeenten (samen: de 
SUWI-partners) wisselen steeds meer gegevens uit ten behoeve van de dienstverle- 
ning aan burgers. Het gebruik van de gezamenlijke elektronische voorzieningen 
Suwinet (GeVS) binnen de sector werk en inkomen is omvangrijk en neemt nog 
steeds toe. In april 2013 werd via Suwinet van 645 duizend burgers één of meer 
keer het Digitaal Klantdossier (DKD) opgevraagd. Daarin zijn onder meer inkom- 
sten, uitkeringsgegevens, arbeidsverleden en opleidingsgegevens opgenomen. De 
aangesloten ketenpartijen hebben hiervoor in totaal ruim tien miljoen keer een in- 
formatieverzoek gekregen. Het aantal opvragingen via Suwinet-Inkijk is ten opzichte 
van 2010 met ruim 10 procent toegenomen. De verwachting is dat deze trend zich 
de komende jaren zal voortzetten. Hierdoor neemt het belang van de invulling van 
de randvoorwaarden voor gegevensuitwisseling verder toe, te weten de bescher- 
ming van persoonsgegevens, gegevenskwaliteit en transparantie over gegevensver- 
werking. 

De Inspectie SZW doet sinds 2010 onderzoek naar de ontwikkeling van digitalisering 
binnen de sector werk en inkomen en specifiek naar de invulling van deze rand- 
voorwaarden. Hieruit komen diverse knelpunten naar voren, die onder andere risi- 
co's met zich meebrengen voor de continuïteit van de digitale dienstverlening. In 
deze programmarapportage gaat de inspectie in op de uitkomsten van een litera- 
tuurstudie en een expertsessie over gegevensuitwisseling in de periode 2010 - 2013. 

Ook rapporteert de inspectie over de uitkomsten van het onderzoek naar de beveili- 
ging van Suwinet bij gemeenten, dat zij op verzoek van de staatssecretaris van SZW 
heeft uitgevoerd. Dit laatste onderzoek heeft betrekking op de bescherming van 
persoonsgegevens door gemeenten binnen de sector werk en inkomen. Bij eerdere 
onderzoeken van de inspectie (o.a. in 2009 en 2011) is melding gemaakt van ge- 
brekkige beveiliging van persoonsgegevens bij gemeenten en incidenteel van mis- 
bruik of oneigenlijk gebruik daarvan. Omdat gemeenten zich bovendien niet zicht- 
baar verantwoorden, hebben de overige SUWI-partijen (en ook niet-SUWI-partijen) 
die gegevens via Suwinet uitwisselen -die zich wel over het gebruik van Suwinet 
moeten verantwoorden, daardoor geen zicht op de stand van zaken bij gemeenten 
voor wat betreft de beveiliging van Suwinet. 

Deze programmarapportage is de laatste van de inspectie die specifiek ingaat op de 
invulling van de genoemde randvoorwaarden. Het beoogde effect van deze pro- 
grammarapportage is een meer solide basis voor digitale dienstverlening in de sec- 
tor werk en inkomen, door inzicht te geven in de bijdrage die de gezamenlijke par- 
tijen binnen de sector werk en inkomen leveren aan hergebruik van gegevens, ver- 
betering van gegevenskwaliteit, transparantie en bescherming van persoonsgege- 
vens. Voor de bewindspersonen van SZW en uitvoeringsorganisaties en gemeenten 
bieden de bevindingen uit deze rapportage aanknopingspunten voor het desgewenst 
treffen van maatregelen. 
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In deze rapportage staat de volgende vraag centraal: 

In hoeverre geven UWV, SVB en gemeenten invulling aan (de voorwaarden voor) 
gegevensuitwisseling door hergebruik van gegevens, kwaliteitsborging en bescher- 
ming van persoonsgegevens? 

In het onderzoek naar de beveiliging van Suwinet gaat de aandacht specifiek uit 
naar de mate waarin gemeenten in 2012 voldoen aan de eisen van vertrouwelijkheid 
(kunnen persoonsgegevens alleen worden verwerkt door daartoe gemachtigde per- 
sonen?), die worden gesteld aan de beveiliging van de persoonsgegevens die wor- 
den uitgewisseld binnen Suwinet. 

In deze programmarapportage staat centraal de wijze waarop UWV, SVB en ge- 
meenten invulling geven aan de in onderstaande model benoemde begrippen: 



Gegevensuitwisseling 
in de sector werk en 
inkomen 




Randvoorwaarden: 

- Kwaliteitsborging 

- Privacybescherming 

- Transparantie 



- ► 



digitale dienst- 
verlening 



Toelichting: het model beschrijft de belangrijkste begrippen in deze rapportage. Binnen het 
kader staan de begrippen die als variabele in het onderzoek worden betrokken, alsmede de 
relaties die tussen deze begrippen worden verondersteld. Het begrip 'digitale dienstverlening' 
valt buiten het kader, wat wil zeggen dat voor dit onderzoek de digitale dienstverlening geldt 
als belangrijke context. 



1.2 Toetsingskader 



De inspectie SZW heeft de bevindingen getoetst aan de volgende normen: 
Hergebruik gegevens 

- In stand houden stelsel van gezamenlijke voorzieningen (GeVS) 

- Gebruik GeVS om eenmalige uitvraag te realiseren 

Randvoorwaarde: borging kwaliteit gegevens 

- De Polisadministratie voldoet aan het normenkader zoals vastgesteld door betrok- 
ken partijen en afgestemd met de Tweede Kamer. De Polisadministratie bevat ge- 
gevens over lonen, uitkeringen en arbeidsverhoudingen van alle verzekerde werk- 
nemers in Nederland. 

- Er is een correctiefaciliteit waarmee de burger kan aangeven dat een gegeven 
naar zijn mening niet juist is geregistreerd. 
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- Afwijkingen worden teruggemeld aan de bronhouder/beheerder van de betreffende 
registratie of de bronhouder is in staat om afwijkingen zelf op te sporen. 1 

Randvoorwaarde: bescherming persoonsgegevens 

- Gegevensuitwisseling tussen gemeenten, UWV en SVB vindt plaats via een bevei- 
ligde iet-infrastructuur. 

- Gemeenten, UWV en SVB voldoen bij het verzamelen en verwerken van persoons- 
gegevens uit GeVS aan de gestelde normen voor vertrouwelijkheid bij informatie- 
beveiliging. 

Randvoorwaarde: transparante procesgang 

- UWV, SVB en gemeenten maken het recht op inzage in algemene zin (passief) 
bekend aan burgers en bieden hen de mogelijkheid om verwerkte gegevens in te 
zien. 

- UWV, SVB en gemeenten registreren in hoeverre burgers daadwerkelijk gebruik 
maken van de geboden faciliteiten voor inzage in hun gegevens. 

1.3 Conclusies 

1.3.1 Hergebruik gegevens 

De uitvoeringsorganisaties en gemeenten hebben gezamenlijk invulling gegeven aan 
de GeVS om hergebruik van gegevens te realiseren. Zij maken op grote schaal ge- 
bruik van gegevens die via Suwinet middels het virtuele Digitaal Klant Dossier (DKD) 
aan bronbestanden van de ketenpartners worden ontleend. Het totale aantal gege- 
vens dat via Suwinet wordt hergebruikt, neemt toe. Dit geldt ook voor het aantal 
verschillende eindgebruikers. 

De eenmalige uitvraag van gegevens is nog niet overal in de uitvoering praktijk. 
Gemeenten blijven ten opzichte van UWV en SVB achter in het gebruik van de om- 
gekeerde intake. Bij de omgekeerde intake worden bekende gegevens op het aan- 
vraagformulier vooringevuld, waarna de klant deze controleert op juistheid en waar 
nodig aanvult. 

Belemmerende factoren voor hergebruik van gegevens door gemeenten via de GeVS 
zijn onder meer de problematische aanlevering van gegevens door gemeenten aan 
het sectorloket en twijfels bij de eindgebruiker over de kwaliteit en bruikbaarheid 
van gegevens. Daarnaast zijn er zorgen bij de ketenpartners over het veilig gebruik 
van persoonsgegevens (als voorwaarde voor gegevensverstrekking). Doordat er 
steeds meer (verschillende) aanbieders en afnemers zijn wordt de samenwerking 
binnen de GeVS complexer. Met name daar waar sprake is van hergebruik van ge- 
gevens tussen de sector werk en inkomen en andere sectoren wordt deze bemoei- 
lijkt door het bestaan van verschillende standaarden die voortvloeien uit verschillen 
in wetgeving en daardoor niet op elkaar aansluiten. Binnen de sector werk en inko- 
men geldt een gesloten verstrekkingenregime. Gegevens die binnen de sector van 
werk en inkomen worden verwerkt, mogen op grond van de Wet Suwi en de diverse 
materiewetten alleen worden uitgewisseld met instanties, als de wet dat uitdrukke- 
lijk toestaat. Met name in het gemeentelijke domein staat dit op gespannen voet* 
met het uitgangspunt van de integrale klantbenadering, dat van professionals ver- 
wacht om over wettelijke domeinen heen te kijken. Met de komende decentralisa- 



De inspectie SZW geeft bij dit onderzoek een bredere invulling aan het begrip terugmelding dan die in de wetge- 
ving wordt gehanteerd. De wetgeving gaat uit van verplichte terugmelding op als authentiek aangewezen gege- 
vens uit basisregistraties. Voor de kwaliteit van de gegevens vindt de inspectie het ook van belang dat bij twijfel 
terugmelding plaatsvindt op niet als authentiek aangewezen gegevens, omdat steeds meer gegevens als authen- 
tiek worden aangemerkt. 
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ties, waardoor steeds meer wettelijke taken naar de gemeenten gaan, zal dit span- 
ningsveld nog groter worden. 

1.3.2 Randvoorwaarden voor hergebruik 

De beveiliging van persoonsgegevens bij gemeenten is niet op orde. Slechts 4% van 
de gemeenten voldoet aan de zeven belangrijkste door de inspectie getoetste nor- 
men -gericht op het voorkomen dat persoonsgegevens van burgers worden geraad- 
pleegd zonder dat daarvoor een goede reden is- en voldoen daarmee op deze pun- 
ten aan hun verplichtingen. Het gaat daarbij om normen ten aanzien van het bevei- 
ligingsbeleid, de organisatie van de beveiliging en het controleren van door mede- 
werkers opgevraagde persoonsgegevens. 

Bovendien blijkt uit een controle van de inspectie, dat bij 13 van de 80 onderzochte 
gemeenten (18%) in 2012 gegevens van bekende Nederlanders met gebruikmaking 
van Suwinet-Inkijk zijn geraadpleegd, zonder dat hiervoor een goede reden is gege- 
ven. De inspectie hanteerde voor deze controle een beperkte lijst met 100 willekeu- 
rig geselecteerde bekende Nederlanders. In werkelijkheid zijn er enkele duizenden 
bekende Nederlanders van wie gegevens via Suwinet kunnen worden geraadpleegd. 
Gemeenten hebben inmiddels de mogelijkheid om naast het online opvragen van 
gegevens via Suwinet-Inkijk ook gegevens van burgers op te vragen en direct over 
te nemen in de eigen systemen, het zogenoemde 'Suwinet-Inlezen'. De opvragingen 
via Suwinet-Inlezen worden echter niet gelogd en zijn, nadat deze zijn overgenomen 
in het gemeentelijke systeem, ook vanuit deze omgeving te benaderen. Het is de 
inspectie niet duidelijk geworden op welke wijze gemeenten de toegangsrechten 
voor het gebruik van deze gegevens verlenen en hoe zij controleren op het gebruik. 

Uitvoeringsorganisaties en gemeenten maken beperkt gebruik van de mogelijkheden 
voor terugmelding aan elkaar en aan andere instanties waarmee zij gegevens uit- 
wisselen, in de gevallen dat gegevens onjuist zijn of lijken te zijn. Terugmelding is 
overigens uitsluitend verplicht bij gerede twijfel aan de juistheid van een authentiek 
gegeven. De technische voorzieningen om terugmelding van onjuiste gegevens tus- 
sen organisaties mogelijk te maken zijn gerealiseerd, maar nog niet overheidsbreed 
inzetbaar. In de sector werk en inkomen worden daarnaast ook andere mogelijkhe- 
den ingezet om afwijkingen in gegevens op te sporen, zoals de vergelijking van ver- 
schillende adresbestanden die UWV mogelijk maakt met behulp van Suwinet-Inkijk. 

De uitvoeringsorganisaties en gemeenten bieden de burger correctievoorzieningen, 
maar deze worden nauwelijks door de burger gebruikt. Het recht op correctie laat 
zich in de praktijk moeilijk effectueren. 

Het bieden van transparantie over de verwerking van persoonsgegevens is een wet- 
telijk uitgangspunt, dat onder meer tot uitdrukking komt in het inzage- en correctie- 
recht. De inspectie verstaat onder transparantie ook dat UWV, SVB en gemeenten 
klanten informeren over hoe zij invulling kunnen geven aan dit recht. Het actief in- 
formeren van burgers, bijvoorbeeld door het geven van een directe link naar gewij- 
zigde/geregistreerde gegevens voor een bepaalde overheidsdienst, over de moge- 
lijkheden om hun gegevens in te zien is geen wettelijke verplichting en heeft in de 
praktijk geen prioriteit. 
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Bij UWV en SVB is sprake van een passieve wijze van informeren van klanten over 
het inzage- en correctierecht. Bij gemeenten is het beeld divers; er zijn gemeenten 
die de klant niet informeren, maar ook gemeenten die de klanten informeren door 
middel van folders en informatie op de website en er zijn gemeenten dit mondeling 
doen. Hierin ligt een deel van de verklaring voor het beperkt gebruik van de correc- 
tiemogelijkheden door burgers. 

1.4 Oordeel 

De uitvoeringsorganisaties en gemeenten hebben invulling gegeven aan de geza- 
menlijke elektronische voorzieningen Suwinet (GeVS) om hergebruik van gegevens 
te realiseren. Zij maken op grote schaal gebruik van gegevens uit het Digitaal Klant 
Dossier (DKD) en wisselen daarvoor op grote schaal persoonsgegevens uit via Suwi- 
net. De infrastructuur en het juridisch kader van de GeVS bevorderen grootschalige 
gegevensuitwisseling. Daarnaast heeft de inspectie vastgesteld dat de dienstverle- 
ning in de afgelopen jaren sterk is gedigitaliseerd en zij verwacht dat de digitale 
dienstverlening verder aan belang zal toenemen. Ook het belang van gegevensuit- 
wisseling en van hergebruik van gegevens daarbij (o.a. via Suwinet-Inkijk) neemt 
hierdoor navenant toe. 

De inspectie is van oordeel dat de basis voor hergebruik van uitgewisselde gegevens 
bij gemeenten nog steeds niet op orde is waar het de beveiliging van Suwinet door 
gemeenten betreft. De beveiliging van Suwinet door gemeenten is ondanks diverse 
inspanningen en onderzoeken van de inspectie onder de maat; het gebrek aan be- 
veiliging van persoonsgegevens bij het gebruik van Suwinet-Inlezen acht de inspec- 
tie bovendien zorgwekkend. 

Verder vindt de inspectie dat: 

SUWI-partijen meer prioriteit moeten geven aan het inzage- en correctierecht 
in de dienstverlening aan burgers, om de burger in staat te stellen zelf regie te 
kunnen voeren over zijn persoonsgegevens; 

Transparantie in de praktijk niet van de grond komt, zonder het actief informe- 
ren van de burger. 

SUWI-partijen hun taak ruimer moeten opvatten door meer werk te maken van 
terugmelding aan elkaar bij twijfel aan de juistheid van zowel als authentiek 
(wat wettelijk verplicht is) als niet-authentiek aangewezen gegevens. 

Het toegenomen belang van gegevensuitwisseling maakt het voldoen aan het princi- 
pe van hergebruik en de daarbij behorende randvoorwaarden voor gegevensuitwis- 
seling urgent. 

Bovendien voldoet de gegevensaanlevering en hergebruik van aangeleverde gege- 
vens bij gemeenten in de praktijk nog niet aan de wettelijke eisen. 

Gegevensuitwisseling (o.a. via Suwinet-Inkijk) over sectoren heen vraagt om een 
bredere discussie over de relatie tussen bescherming van persoonsgegevens (o.a. 
doelbinding) aan de ene kant en bediening van de burger (die vaak kampen met 
problemen op meerdere gebieden, o.a. schulden, WMO, zorg) aan de andere kant. 
Gegevens die binnen de sector werk en inkomen worden verzameld, mogen immers 
alleen worden uitgewisseld met instanties buiten de sector werk en inkomen, wan- 
neer de wet dit toestaat. Dit gesloten verstrekkingenregime staat op gespannen 
voet met het uitgangspunt van de integrale klantbenadering. Door de voorgenomen 
decentralisaties in het gemeentelijke domein is de verwachting dat dit spanningsveld 
in de komende jaren groter zal worden. 
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2 Inleiding 



2.1 Introductie 

In de periode 2010-2013 is de sector werk en inkomen ingrijpend gewijzigd. De 
noodzaak om de overheidsfinanciën op orde te brengen dwong het kabinet tot het 
maken van duidelijke keuzes, waarbij maximaal gebruik wordt gemaakt van de snel 
toenemende mogelijkheden en acceptatie van internettechnologie. 
De klant werd in deze periode meer en meer aangesproken op zijn eigen verant- 
woordelijkheid om werk te vinden. In het kader van het Redesign is UWV bezig om 
haar dienstverlening aan werkzoekenden voornamelijk digitaal aan te bieden en 
slechts in een beperkt aantal gevallen via face-to-face contacten. 2 De wijziging van 
de wet SUWI van 21 mei 2012 gaf hiervoor een wettelijke basis en betekende het 
einde van de inzet van het re-integratiebudget Werkloosheidswet en van de loonkos- 
tensubsidies. 3 Het aantal vestigingen van waaruit UWV opereert, wordt terugge- 
bracht van 98 in 2012 naar 30 in 2015. 

Deze ontwikkelingen hangen nauw samen met veranderingen in de samenleving. 
Het gebruik van digitale dienstverlening is op tal van terreinen ingeburgerd geraakt. 
In 2011 hebben vrijwel alle huishoudens een pc met toegang tot internet. 4 
In 2009 werd geschat dat de gemiddelde Nederlander in tenminste 250 tot 500 da- 
tabases staat geregistreerd. 5 Algemeen wordt aangenomen dat dit aantal snel stijgt: 
in 2011 staan actieve burgers naar schatting met circa 30.000 gegevens in 1500 
databases. 6 Deze ontwikkelingen zijn samen te vatten met de term 'netwerksamen- 
leving'. De overheid gaat in deze ontwikkeling mee en is in snel tempo aan het om- 
vormen tot een i-overheid. 7 

ICT-ondersteuning is een cruciaal element in de visie van de VNG op gemeentelijke 
dienstverlening in 2020. 8 In het domein van werk en inkomen gaat de vorming van 
de i-overheid gepaard met een toename van de uitwisseling van gegevens tussen 
uitvoerders en andere overheidsinstanties. De Programmaraad SUWI stimuleert de 
toepassing van e-WWB (uitkeringsaanvraag via internet) bij uitkeringsaanvragen. 9 
Naast het redesign van UWV lopen ook bij SVB verandertrajecten die steunen op 
digitalisering van dienstverlening (veranderprogramma SVB Tien). 

Door de snelle ontwikkeling van digitale dienstverlening is het belang en de afhanke- 
lijkheid van elektronische gegevensuitwisseling in het domein van werk en inkomen 
de laatste jaren toegenomen. De verwachting is, gezien de ambities van de uitvoe- 
ringsorganisaties ten aanzien van digitale dienstverlening, dat dit belang in de toe- 
komst nog verder zal toenemen. 



2 Kamerstukken II, 2011-2012, 33065 nr. 3 

3 Staatsblad 2012, 224 

4 CBS Webmagazine (2012) Nederland Europees kampioen internettoegang. Artikel op www.cbs.nl/nl- 
N17menu/themas/bedriiven/Dubl icaties/dioitale-emnomie/artikelen /2012-3636-wm.htm 

s Schermer, B.W en Wagemans, T. (2009) Onze digitale schaduw. Ben verkennend onderzoek naar het aantal data- 
bases waarin de gemiddelde Nederlander geregistreerd staat. Amsterdam: Considerati. 

6 De voorzitter van het CBP, de heer Kohnstamm, noemde deze aantallen in een expertmeeting inzake de evaluatie 
van Wbp. Zie Kamerstukken I, 2010-2011, 31051 nr. B Herdruk. 

7 Wetenschappelijke Raad voor het Regeringsbeleid (2011) iOverheid, Den Haag/Amsterdam: WRR/Amsterdam 
University Press. 

8 Vereniging van Nederlandse Gemeenten (2010) Dienstverlening draait om mensen. 

9 De Programmaraad (Divosa, UWV en VNG) heeft een agenda voor de complementaire samenwerking tussen UWV 
en gemeenten opgesteld waaronder ICT-toepassingen. 
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2.2 Probleemanalyse 

Uit door de inspectie in het verleden uitgevoerde onderzoeken komen diverse knel- 
punten op het terrein van gegevensuitwisseling en digitale dienstverlening naar vo- 
ren, onder meer: 

- Op het terrein van de eenmalige gegevensuitvraag bij de klant is weliswaar voor- 
uitgang geboekt, maar dat betekent nog niet dat het voor uitvoerders eenvoudig is 
om zo min mogelijk gegevens bij de klant op te vragen. 10,11 

- Verschillende gemeenten geven aan dat Suwinet nog niet volledig gebruikt kan 
worden als vervanging voor het opvragen van bewijsstukken omdat de gegevens 
niet altijd betrouwbaar zijn, er soms storingen optreden, het niet altijd actueel is 
en niet alle benodigde gegevens bevat. 12,13 

- De beveiliging van Suwinet lijkt vooral bij gemeenten niet op orde te zijn, uitgaan- 
de van de indicaties die de monitor van BKWI over het gebruik van Suwinet door 
gemeenten geeft. 14 

- Standaard pakketten/oplossingen (bijv. e-WWB) sluiten niet altijd aan bij de wen- 
sen/processen van gemeenten. 15 

Bovengenoemde knelpunten vragen om aandacht van de uitvoering en er moeten 
stappen worden gezet om de ambities met digitale dienstverlening te halen. 

2.3 Centrale vraagstelling van de programmarapportage 

De centrale vraag van deze programmarapportage is: 

In hoeverre geven UWV, SVB en gemeenten invulling aan (de voorwaarden voor) 
gegevensuitwisseling door hergebruik van gegevens, kwaliteitsborging en bescher- 
ming van persoonsgegevens? 

De centrale vraag beantwoordt de inspectie aan de hand van twee deelonderzoeken: 

1) Een literatuurstudie, aangevuld met een expertsessie 

2) Empirisch onderzoek naar de beveiliging van suwinet bij gemeenten 

De literatuurstudie richt zich op de wijze waarop gegevensuitwisseling door UWV, 
SVB en gemeenten zijn ingevuld. De focus ligt daarbij op de gegevensuitwisselingen 
die tussen en binnen de uitvoeringsorganisaties en gemeenten plaatsvinden voor de 
uitvoering van de sociale zekerheidswetgeving, meer in het bijzonder op de proces- 
sen uitkeringsaanvraag, uitkeringsverstrekking, re-integratie en fraudebestrijding bij 
uitvoering van de WW, WWB of AOW. In de expertsessie zijn de voorlopige conclu- 
sies van het literatuuronderzoek gespiegeld met experts op het terrein van het on- 
derzoeksobject. Daarbij hebben de experts desgevraagd ook inzicht gegeven in ac- 
tuele ontwikkelingen. De resultaten hiervan zijn verwerkt in de conclusies. 
Het tweede deelonderzoek waarvan de inspectie in deze rapportage verslag doet, 
gaat specifiek in op de beveiliging van Suwinet bij gemeenten. Dit betreft een on- 



10 EIM (2010) De werking van de eenmalige gegevensuitvraag in de praktijk: Evaluatie perceel 2 WEU Zoetermeer: 
EIM. 

11 Inspectie Werk en Inkomen (2011) Keteninformatisering. Den Haag: Inspectie Werk en Inkomen. 

12 Inspectie SZW (2012) Aanvraag WWB. Den Haag: Inspectie SZW. 

13 Inspectie Werk en Inkomen (2011) Keteninformatisering. Den Haag: Inspectie Werk en Inkomen. 

14 Inspectie Werk en Inkomen (2011) Gegevensuitwisseling WWB/WIJ. Den Haag: Inspectie Werk en Inkomen. 

15 Inspectie SZW (2012) Een bredere kijk op gegevens. Den Haag: Inspectie SZW. 
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derzoek op verzoek van de staatssecretaris om een representatief beeld te geven 
van de mate waarin de beveiliging van het Suwinet door gemeenten op orde is 16 . 

De hoofdvraag van dit onderzoek is: 

In welke mate voldoen gemeenten aan de eisen van vertrouwelijkheid die worden 
gesteld aan de beveiliging van informatie die wordt uitgewisseld binnen het Suwinet 
in 2012? 

De inspectie SZW beperkt het onderzoek tot beveiliging tegen inbreuken op de ver- 
trouwelijkheid. De bescherming van de privacy van de personen over wie persoons- 
gegevens worden verwerkt, vereist dat met name de vertrouwelijkheid voldoende 
gewaarborgd wordt. Vertrouwelijkheid wil zeggen dat een gegeven alleen te benade- 
ren is door iemand die gemachtigd is het gegeven te benaderen. 

2.4 Toetsingskader 

De inspectie heeft de centrale begrippen uit de onderzoeksvraag getoetst aan de 
volgende normen: 

Hergebruik gegevens 

- In stand houden stelsel van gezamenlijke voorzieningen (GeVS) 

- Gebruik GeVS om eenmalige uitvraag te realiseren 

Randvoorwaarde: borging kwaliteit gegevens 

- De Polisadministratie voldoet aan het normenkader zoals vastgesteld door betrok- 
ken partijen en afgestemd met de Tweede Kamer. 

- Er is een correctiefaciliteit waarmee de burger kan aangeven dat een gegeven 
naar zijn mening niet juist is geregistreerd. 

- Afwijkingen worden teruggemeld aan de bronhouder/beheerder van de betreffende 
registratie of de bronhouder is in staat om afwijkingen zelf op te sporen. 17 

Randvoorwaarde: bescherming persoonsgegevens 

- Gegevensuitwisseling tussen gemeenten, UWV en SVB vindt plaats via een bevei- 
ligde iet-infrastructuur. 

- Gemeenten, UWV en SVB voldoen bij het verzamelen en verwerken van persoons- 
gegevens uit GeVS aan de gestelde normen voor vertrouwelijkheid in het kader 
van informatiebeveiliging. 

Randvoorwaarde: transparante procesgang 

- UWV, SVB en gemeenten maken het recht op inzage in algemene zin (passief) 
bekend aan burgers en bieden hen de mogelijkheid om geregistreerde en verwerk- 
te gegevens in te zien. 

- UWV, SVB en gemeenten registreren in hoeverre burgers daadwerkelijk gebruik 
maken van de geboden faciliteiten voor inzage in hun gegevens. 

2.5 Onderzoeksmethoden 

De inspectie heeft bij de uitvoering van de literatuurstudie gebruik gemaakt van 
twee onderzoeksmethoden: literatuuronderzoek (documentanalyse) en een expert- 

16 Brief d.d. 28 juni 2012, kenmerk RUA/ A/2012/9996 

17 De Inspectie geeft bij dit onderzoek een bredere invulling aan het begrip terugmelding dan die in de wetgeving 
wordt gehanteerd. De wetgeving gaat uit van verplichte terugmelding op als authentiek aangewezen gegevens uit 
basisregistraties. Voor de kwaliteit van de gegevens vindt de inspectie het ook van belang dat bij twijfel terugmel- 
ding plaatsvindt op niet als authentiek aangewezen gegevens, omdat steeds meer gegevens als authentiek wor- 
den aangemerkt. 
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sessie om de conclusies te spiegelen en om zicht te krijgen op actuele ontwikkelin- 
gen. Voor het onderzoek naar de beveiliging van Suwinet is een zuiver aselecte 
steekproef getrokken van 80 uit de 415 gemeenten in Nederland, in het jaar 2012. 
De beoordelingen van de inspectie zijn gebaseerd op de antwoorden die de steek- 
proefgemeenten hebben gegeven naar aanleiding van de vragenlijst en op de bijbe- 
horende bewijsstukken die gemeenten hebben ingezonden. Verder heeft de inspec- 
tie gebruik gemaakt van de BKWI-rapportages over het gebruik van Suwinet per 
steekproefgemeente over de periode november 2011 tot en met oktober 2012. Ten- 
slotte heeft de inspectie (geanonimiseerde) gegevens uit de logfiles van de desbe- 
treffende gemeenten opgevraagd bij BKWI en gebruikt bij de beoordeling. 



Pagina 15 van 41 



De burger bediend in 2013 | oktober 2013 



3 Hergebruik 



De principes van eenmalige gegevensuitvraag bij burgers en werkgevers en meer- 
voudig gebruik of hergebruik van de reeds bij de overheid beschikbare gegevens is 
in de sector werk en inkomen vormgegeven door de wet eenmalige gegevensuit- 
vraag werk en inkomen (WEU). Deze wet regelt dat burgers die een beroep doen op 
de sociale zekerheid maar één keer hun gegevens hoeven aan te leveren. Deze ge- 
gevens moeten dan voor iedere SUWI-partij beschikbaar zijn via het DKD. Eenmali- 
ge gegevensuitvraag moet ertoe leiden dat de burger de sector werk en inkomen als 
één efficiënt werkend geheel ervaart. 18 Hiervoor is het noodzakelijk dat de SUWI- 
partijen onderling op grote schaal snel en veilig gegevens kunnen uitwisselen. 

3.1 Bevindingen 

In 2010 zijn drie onderzoeken uitgevoerd naar de doeltreffendheid en de effecten 
van de WEU in de praktijk. De conclusie op basis van deze onderzoeken was dat de 
ketenpartners invulling hebben gegeven aan de GeVS en dat het aantal gegevens- 
bronnen dat via de GeVS wordt ontsloten, toeneemt. Deze trend heeft zich in 2011 
en 2012 doorgezet. Steeds meer organisaties willen hun gegevens via de GeVS aan- 
bieden en van de DKD-gegevens gebruik maken. De inspectie stelde in 2010 vast 
dat "op centraal niveau UWV, gemeenten en SVB er gezamenlijk voor hebben ge- 
zorgd dat hun eigen systemen met daarin voor het groeipad relevante gegevens via 
Suwinet-Inkijk beschikbaar zijn." Uit de evaluatie van de WEU bleek daarnaast dat 
UWV, SVB en het overgrote deel van de gemeenten de via de GeVS gevraagde be- 
richten uitwisselen. 

In 2010 ondervond naar schatting 10 tot 15 procent van de gemeenten nog techni- 
sche of organisatorische problemen bij het aanleveren van klantgegevens. 19 Ge- 
meenten onderkennen de problemen met de aanlevering. De problematische aanle- 
vering is opgepakt door de werkgroep werk en inkomen van het Kwaliteitsinstituut 
Nederlandse Gemeenten (KING). Uit de verslagen van de werkgroep uit 2011 en 
2012 valt op te maken dat het probleem nog niet is opgelost. 20,21 In de bestudeerde 
documenten zijn voor de periode 2010-2013 geen aanwijzingen gevonden voor pro- 
blemen in de aanlevering van gegevens door UWV en SVB. 

Het gebruik van de GeVS binnen het domein van werk en inkomen is omvangrijk en 
neemt nog steeds toe. In april 2013 werd via Suwinet van 645 duizend burgers één 
of meer keer het Digitaal Klantdossier opgevraagd. De aangesloten ketenpartijen 
hebben hiervoor in totaal ruim tien miljoen keer een informatieverzoek gekregen. 
Het aantal opvragingen via Suwinet-Inkijk is ten opzichte van 2010 met ruim 10 
procent toegenomen. Dit hangt mede samen met de stijging van het aantal werklo- 
zen in deze periode. Het aantal verschillende soorten eindgebruikers/autorisaties is 
in dezelfde periode met ruim 30 procent toegenomen. Het aantal aangesloten orga- 
nisaties laat een dalende trend zien, dit is het gevolg van het samenvoegen van 



" Bijlage 1 Regeling SUWI. Stelselontwerp & Beveiliging Kaders en uitgangspunten aangaande de Gezamenlijke 

elektronische Voorzieningen Suwi (GeVS). 
15 Don, H. en Rensen, G. (2010). Verkennende notitie zorg en sociale zekerheid; Bericht van twee wethouders om de 
regeldruk te verlichten. Regioplan beleidsonderzoek, Amsterdam. 

20 Kwaliteitsinstituut Nederlandse Gemeenten (2011). Verslag expertgroep werk en inkomen -15 december 2011. 
(Geraadpleegd op: httD://www.kinaoemeenten.nl/kino-kwaliteitsinstituut-nederlandse-Qemeenten/e-dienstverlenino- 
verbeteren/werk-inkomen/expertaroep-ict-werk-en-inkomen/15-december-2011/?Daae=2 ) 

21 Kwaliteitsinstituut Nederlandse Gemeenten (2012). Zorgvuldig gebruik en verbeterpunten, W&I - 31 mei 2012. 
(Geraadpleegd op: http://www.kinggemeenten.nl/king-kwaliteitsinstituut-nederlandse-gemeenten/e-dienstverlening- 
verbeteren/werk-inkomen/expertgroep-ict-werk-en-inkomen/31-mei-2012) 
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gemeentes. Ook het aantal eindgebruikers is in 2011 en 2012 gedaald. Dit was het 
gevolg van opschoningacties van niet gebruikte accounts. 

Op basis van evaluatie van de WEU concludeerde de toenmalige minister van SZW 
dat de WEU heeft geleid tot een vermindering van de administratieve lasten: "Uit- 
komst van dit onderzoek is dat de totale administratieve lasten voor burgers ten 
opzichte van 2007 voor de tijdsbesteding zijn afgenomen met ruim 35%. Dit is 10% 
meer dan in 2007 vooraf op basis van aannames was geraamd. " De evaluatie gaf 
tevens aan dat er ruimte is om de administratieve lasten verder te verminderen. 
Ook de Inspectie Werk en Inkomen (thans Inspectie SZW) constateert in diverse 
onderzoeken dat de eenmalige uitvraag in de praktijk nog beter kan. 

Sinds de evaluatie van de WEU in 2010 heeft de toepassing van omgekeerde digitale 
intake een vlucht genomen. Dit is vooral het gevolg van de ontwikkeling van het 
digitale kanaal bij SVB en UWV, en in mindere mate ook bij gemeenten. In 2010 
maakte 70 procent van de WW-aanvragers gebruik van de digitale intake, de overi- 
ge 30 procent meldde zich bij het werkplein. 22 In 2012 maakte 89 procent van de 
WW-aanvragers gebruik van de digitale intake voor een WW-uitkering. 23 Doel voor 
2013 is dat minstens 90 procent van de WW-aanvragers gebruik maakt van de digi- 
tale inschrijving voor een WW-uitkering. 24 Voor WWB-aanvragers is digitale intake 
niet overal mogelijk. Niet iedere gemeente heeft dit mogelijk gemaakt. Bij de WWB 
was de ambitie om 40% van de WWB aanvragen uiteindelijk via internet te laten 
verlopen (e-intake WWB) 25 . In de expertsessie bracht men naar voren dat voor 
sommige processen en in bepaalde situaties cruciale gegevens voor een volledige 
afhandeling van aanvragen of meldingen ontbreken. 26 Deze situatie doet zich bij- 
voorbeeld voor bij de aanvraag van de WWB. 27 Geconcludeerd kan worden dat de 
omgekeerde intake de standaard is geworden in de uitvoering, met uitzondering van 
de gemeenten. 

Ondanks deze ontwikkelingen verwerpen de deelnemers aan de expertsessie de 
conclusie dat anno 2013 de doelstelling van de WEU om de administratieve lasten te 
verminderen, is bereikt. Zij zijn vrijwel unaniem van mening dat de administratieve 
lastenverlichting nog verder zou kunnen en moeten worden verbeterd. Zij zien onder 
meer ruimte tot verbetering door in plaats van heronderzoeken op basis van 
maandbriefjes relevante gegevens digitaal op te vragen bij de bron. 28 

Belemmerende factoren voor hergebruik via de GeVS zijn onder meer de problema- 
tische aanlevering van DKD-gegevens door gemeenten, twijfels bij de eindgebruiker 
over de kwaliteit en bruikbaarheid van gegevens, en zorgen om het veilig gebruik 
van persoonsgegevens (als voorwaarde voor gegevensverstrekking). Doordat er 
steeds meer (verschillende) aanbieders en afnemers zijn, wordt de samenwerking 
binnen de GeVS complexer. Met name daar waar sprake is van hergebruik van ge- 
gevens tussen de sector werk en inkomen en andere sectoren, wordt deze bemoei- 
lijkt door het bestaan van verschillende van standaarden die voortvloeien uit ver- 
schillen in wetgeving en daardoor niet op elkaar aansluiten. 

22 EIM (2010). De werking van de eenmalige gegevensuitvraag in de praktijk: Evaluatie perceel 2 WEU. Zoetermeer. 

23 UWV (2013). Jaarverslag 2012. (Geraadpleegd op: http://iaarverslaa.uwv.nl/iaarverslaa- 

2012/S 1014 ]aarverslaa-2012/S 1017 Uitkerinasaerechtiaden-/S 1048 Dioitaliserina/al02B default (geraad- 
pleegd 10-06-2013) 

24 UWV (2013). Jaarverslag 2012. (Geraadpleegd op: http://iaarverslao.uwv.nl/iaarverslaa- 

2012/S 1014 3aarverslaa-2012/S 1017 Uitkerinosaerechtioden-/S 1048 Diaitaliserina/alO?R default (geraad- 
pleegd 10-06-2013) 

25 Zie de programmarapportage "De burger bediend in 2010", Inspectie Werk en Inkomen, 2010, blz. 25 

26 Verslag expertsessie 

" Inspectie SZW (2012). Aanvraag WWB. Den Haag. 
28 Verslag expertsessie 
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3.2 Conclusie 

De uitvoeringsorganisaties en gemeenten hebben gezamenlijk invulling gegeven aan 
de GeVS om hergebruik van gegevens te realiseren. Zij maken op grote schaal ge- 
bruik van gegevens die via Suwinet middels het virtuele Digitaal Klant Dossier (DKD) 
aan bronbestanden van de ketenpartners worden ontleend. Het totale aantal gege- 
vens dat via Suwinet wordt hergebruikt, neemt toe. Dit geldt ook voor het aantal 
verschillende eindgebruikers. 

De eenmalige uitvraag van gegevens is nog niet overal in de uitvoering praktijk. 
Gemeenten blijven ten opzichte van UWV en SVB achter in het gebruik van de om- 
gekeerde intake. Bij de omgekeerde intake worden bekende gegevens op het aan- 
vraagformulier vooringevuld, waarna de klant deze controleert op juistheid en waar 
nodig aanvult. 

Belemmerende factoren voor hergebruik van gegevens door gemeenten via de GeVS 
zijn onder meer de problematische aanlevering van gegevens door gemeenten aan 
het sectorloket en twijfels bij de eindgebruiker over de kwaliteit en bruikbaarheid 
van gegevens. Daarnaast zijn er zorgen bij de ketenpartners over het veilig gebruik 
van persoonsgegevens (als voorwaarde voor gegevensverstrekking). Doordat er 
steeds meer (verschillende) aanbieders en afnemers zijn wordt de samenwerking 
binnen de GeVS complexer. Met name daar waar sprake is van hergebruik van ge- 
gevens tussen de sector werk en inkomen en andere sectoren wordt deze bemoei- 
lijkt door het bestaan van verschillende standaarden die voortvloeien uit verschillen 
in wetgeving en daardoor niet op elkaar aansluiten. 

Binnen de sector werk en inkomen geldt een gesloten verstrekkingenregime. Gege- 
vens die binnen de sector van werk en inkomen worden verwerkt, mogen op grond 
van de Wet Suwi en de diverse materiewetten alleen worden uitgewisseld als de wet 
dat uitdrukkelijk toestaat. Met name in het gemeentelijke domein staat dit op ge- 
spannen voet met het uitgangspunt van de integrale klantbenadering, dat van pro- 
fessionals verwacht om over wettelijke domeinen heen te kijken. Met de komende 
decentralisaties, waardoor steeds meer wettelijke taken naar de gemeenten gaan, 
zal dit spanningsveld nog groter worden. 
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4 Randvoorwaarden voor hergebruik 



In het vorige hoofdstuk is beschreven dat sprake is van een grootschalige uitwisse- 
ling van gegevens voor hergebruik. De omvang van deze gegevensuitwisseling is de 
laatste jaren toegenomen en zal naar verwachting in de komende jaren verder toe- 
nemen. Gezien deze ontwikkeling is het noodzakelijk dat aan de randvoorwaarden 
voor gegevensuitwisseling wordt voldaan. Dit zijn: kwaliteitsborging, bescherming 
persoonsgegevens en transparante gegevensverwerking. 

4.1 Bevindingen 

Kwaliteitsborging 

Organisaties kunnen onjuistheden in de geregistreerde gegevens doorgeven (terug- 
melden) aan de bronhouder van de registratie. De technische voorzieningen om 
terugmelding van onjuiste gegevens tussen organisaties mogelijk te maken zijn 
gerealiseerd, maar deze worden nog niet volledig benut. Daarnaast zijn er ook ande- 
re mogelijkheden om afwijkingen in gegevens op te sporen, zoals de vergelijking 
van verschillende adresbestanden. Voor authentieke gegevens29 geldt een wettelij- 
ke verplichting voor terugmelden en er is sterk ingezet op verbeteringen van het 
stelsel van basisadministraties. Terugmeldingen vinden echter nagenoeg niet plaats. 
Hiervoor worden in de literatuur verschillende redenen genoemd: professionals zijn 
onvoldoende op de hoogte van hoe en waar ze moeten terugmelden, organisaties 
verschillen in de prioriteit die ze aan terugmelden geven en ze geven prioriteit aan 
de kwaliteit van het eigen proces. Het gezamenlijk belang wordt onvoldoende ge- 
voeld. 

Gemeenten, UWV en SVB bieden een correctiefaciliteit aan, waarmee de burger bij 
organisaties kan aangeven dat een gegeven naar zijn mening niet juist is geregi- 
streerd. Er zijn (technische) voorzieningen ten behoeve van correctieverzoeken ge- 
realiseerd, zoals Suwinet-Correctie, Mijnoverheid.nl, DKD, en herstelfaciliteiten bij 
de vooringevulde aanvraagformulieren. Daarmee voldoen de uitvoeringsorganisaties 
aan de door de Inspectie gehanteerde norm. Er is ook voldoende draagvlak voor een 
correctiefaciliteit voor de burger en het belang daarvan wordt onderkend. 
Het gebruik van de geboden correctiefaciliteiten is echter nog beperkt. Dit hangt 
mede samen met het feit dat burgers niet (actief) worden geïnformeerd over correc- 
tiemogelijkheden en vaak niet duidelijk is wie fouten moet corrigeren. Hierdoor laat 
het wettelijk recht op correctie, dat is vastgelegd in de WBP, zich moeilijk effectue- 
ren. 

De gegevensverwerking in de Polisadministratie voldoet aan het normenkader zoals 
dat is vastgesteld door betrokken partijen en afgestemd met de Tweede Kamer. De 
gegevenskwaliteit start aan de voorkant van het loonaangifteproces: bij de werkge- 
ver. Het verbeteren van de kwaliteit van de gegevens in de polisadministratie, zoals 
opgenomen in de 10e rapportage UWV en Walvis van de inspectie uit 2011, blijft 
een speerpunt. Daarnaast zijn er verbeterpunten op het gebied van inhoudelijke 
kwaliteit en bruikbaarheid voor de instanties in de sector werk en inkomen en daar- 

2 ' Wetgeving bepaalt welke gegevens als authentiek worden aangemerkt. "Authentieke gegevens in de basisregistra- 
ties worden eenduidig geregistreerd. De authentieke gegevens in de basisregistraties zijn van hoogwaardige kwaliteit 
zodat deze zonder nader onderzoek bij de uitvoering van publiekrechtelijke taken te gebruiken zijn. Eén van de 
maatregelen om deze hoge kwaliteit te waarborgen is de teruomeldolicht ." (Bron: htt- 
ps://www. ictu.nl/archief/wi ki.noiv.nl/xwiki/bin/view/Stelselhandboek/Authentieke%2Ben%2Bniet- 
authentieke%2Bg eaevens.html , geraadpleegd 01-07-2013). 
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buiten (de afnemers). De polisgegevens worden op gevalsniveau gehaald uit het 
DKD en in bulk uit bestandsleveringen door UWV. 

Het begrip kwaliteit van de gegevens is sterk contextafhankelijk. Afnemers gebrui- 
ken een gegeven regelmatig in een andere context dan de leverancier, waardoor zij 
de kwaliteit van dat gegeven anders beoordelen. Voor een aantal van de hergebruik- 
te gegevens geldt dat wat voor de ene partij goed is, de andere partij als onvol- 
doende beoordeeld. Professionals die bij gemeenten de WWB uitvoeren, hebben 
behoefte aan actuele gegevens over lonen en dienstverbanden. Dit staat op gespan- 
nen voet met gemaakte keuzes door de wetgever en uitgangspunten rond de inrich- 
ting van de loonaangifteketen. 

Bescherming persoonsgegevens 

Er is een wettelijk kader voor de bescherming van persoonsgegevens. Het belang 
van beveiliging van persoonsgegevens neemt toe door de groeiende omvang van 
het aantal uitgewisseld gegevens en de toename van het aantal aansluitingen buiten 
de sector werk en inkomen. Hierdoor wordt de beveiliging van gegevens steeds 
complexer. In de sector werk en inkomen zijn verschillende initiatieven in gang ge- 
zet om de bescherming van persoonsgegevens te verbeteren. Met name gemeenten 
hebben nog een forse slag te maken om de beveiliging van persoonsgegevens op 
orde te krijgen (hoofdstuk 5 gaat hier nader op in). 

Transparantie 

Transparantie over de verwerking van persoonsgegevens is wettelijk geregeld. De 
invulling van transparantie heeft in de praktijk geen prioriteit van de uitvoeringsor- 
ganisaties en gemeenten. Zij hebben geen verplichting om klanten actief te informe- 
ren. Ook het passief informeren van klanten over de mogelijkheden om hun gege- 
vens in te zien, is nog niet over de volle breedte van het domein werk en inkomen 
aan de orde. 

Klanten van UWV en SVB kunnen zich (o.a. via mijnoverheid.nl) op de hoogte stel- 
len van hun persoonsgegevens. UWV en SVB hebben ook eigen voorzieningen ge- 
realiseerd om de burger inzicht te geven in de gegevens die zij over hem hebben 
geregistreerd. Bij gemeenten is het beeld divers; er zijn gemeenten die de klant niet 
informeren, terwijl andere gemeenten de klant informeren door middel van folders 
en informatie op de website en of dit mondeling doen. 

De uitvoeringsorganisaties zijn om een aantal redenen terughoudend met het bieden 
van transparantie. Het geven van inzage is complex, mede door toenemende gege- 
vensverwerking en registratie in vele databases. Daarnaast is het voor de burger 
niet duidelijk bij welke ketenpartner hij moet zijn voor inzage en correctie van zijn 
gegevens. Het feitelijk gebruik van inzage- en correctievoorzieningen door burgers is 
beperkt, wat het beeld voedt dat de burger weinig behoefte zou hebben aan trans- 
parantie. Hierdoor onderschatten uitvoeringsorganisaties en gemeenten het belang 
van de burger. 

4.2 Conclusies 

De uitvoeringsorganisaties maken om verschillende redenen beperkt gebruik van de 
mogelijkheden voor terugmelding. De uitvoering biedt de burger correctievoorzie- 
ningen, maar deze worden nauwelijks door de burger gebruikt. De beveiliging van 
persoonsgegevens bij gemeenten is niet op orde. De gemeenten krijgen naar ver- 
wachting in de komende jaren te maken met een verbreding van hun takenpakket 
als gevolg van de voorgenomen decentralisaties. De noodzaak om de beveiliging op 
orde te krijgen wordt dan nog groter. 
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De uitvoeringsorganisaties bieden de burger beperkte transparantie over de verwer- 
king van hun persoonsgegevens. Hierin ligt een deel van de verklaring voor het be- 
perkt gebruik van de correctiemogelijkheden door burgers. 
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5 Veilig gebruik suwinet 



5.1 Introductie 

De inspectie SZW heeft bij het onderzoek Veilig gebruik Suwinet op verzoek van de 
staatssecretaris onderzocht in welke mate gemeenten voldoen aan de beveiliging 
van de persoonsgegevens die in 2012 werden uitgewisseld via Suwinet. In dit on- 
derzoek gaat de aandacht specifiek uit naar de mate waarin gemeenten in 2012 
voldoen aan de eisen van vertrouwelijkheid (persoonsgegevens kunnen alleen wor- 
den verwerkt door daartoe gemachtigde personen), die worden gesteld aan de be- 
veiliging van de persoonsgegevens die worden uitgewisseld binnen Suwinet. 
Voor het onderzoek naar de beveiliging van suwinet is een zuiver aselecte steek- 
proef getrokken van 80 uit de 415 gemeenten in Nederland, in het jaar 2012. De 
inspectie heeft het beveiligingsplan en het beveiligingsbeleid getoetst (zie 5.1.1) , de 
organisatie van de beveiliging (functiescheiding en security officer, respectievelijk 
5.1.2 en 5.1.3) en de logische toegangsbeveiliging (autorisatiestructuur en controle 
op toegangsrechten, respectievelijk 5.1.4 en 5.1.5). In 5.1.6 laat de inspectie een 
overzicht zien van de mate waarin de onderzochte gemeenten voldoen aan de ge- 
stelde normen. Daarnaast gaat de inspectie hieronder in op een aantal overige be- 
vindingen. 30 

5.2 Bevindingen 

5.2.1 Beleidsplan, Uitdragen en Actualiseren 

De meerderheid van de onderzochte gemeenten beschikt over een informatiebeveili- 
gingsplan, 15% van de gemeenten heeft echter geen beveiligingsplan overgelegd. 
Dit is opmerkelijk, omdat in 2009 alle gemeenten in Nederland over een beveili- 
gingsplan Suwinet beschikten. In 25% van de gevallen bleek het informatiebeveili- 
gingsplan niet voorzien van een formele goedkeuring. 

71% van de gemeenten kon met de door hen aangeleverde informatie onvoldoende 
aantonen dat het beveiligingsplan binnen de gemeente actiefis uitgedragen. 
79% van de gemeenten evalueert en actualiseert het beveiligingsplan niet regelma- 
tig (tenminste eens in de twee jaar). 

5.2.2 Functiescheiding 

Voor ca. 30% van de gemeenten geldt dat zij voldoende duidelijk hebben aange- 
toond waarom welke functionarissen welke autorisaties hebben binnen Suwinet. Er 
zijn dan onder andere functiebeschrijvingen en er wordt gewerkt met een autorisa- 
tiematrix zodat duidelijk is wie welke autorisaties heeft en waarom. 
De inspectie constateert dat de meeste gemeenten niet in staat zijn aantoonbaar te 
maken wie welke taken met betrekking tot Suwinet uitvoert en op basis waarvan dit 
is vastgesteld. In deze gevallen is dientengevolge ook niet vast te stellen of er spra- 
ke is van voldoende functiescheiding. 

5.2.3 Security Officer 

Uit gegevens van BKWI blijkt dat 58% van de gemeenten een Security Officer (SO) 
had. 

Er is echter meestal sprake van een beperkte taakuitoefening. Vaak is er sprake van 
een formele aanstelling, waarbij er maar weinig invulling wordt gegeven aan de 



Zie de nota van bevindingen van het onderzoek "Veilig gebruik suwinet" voor meer informatie. 
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functie. Een van de taken van een SO is om het hoogste management te adviseren 
over de beveiliging van Suwinet; bij de onderzochte gemeenten heeft de inspectie 
nauwelijks gezien dat aan deze adviesfunctie enige invulling werd gegeven. 76% 
van de gemeenten voldoet niet aan de eisen, gesteld aangaande de Security Officer. 



5.2.4 Autorisatiestructuur 

32 van de 80 onderzochte gemeenten (40%) waren in staat om aan de inspectie 
een geformaliseerde, correcte en in gebruik zijnde autorisatieprocedure en autorisa- 
tiematrix te verstrekken. De 48 gemeenten die niet voldeden aan deze norm 
(60%), zijn te verdelen in een drietal groepen: 

1. gemeenten die geen autorisatieprocedure en geen autorisatiematrix met be- 
trekking tot Suwinet aan de inspectie hebben overgelegd. Dit betreft vaak 
gemeenten met een klein tot zeer klein aantal mensen die gebruik moeten 
maken van Suwinet. De gemeente beschouwt dan deze procedure als te bu- 
reaucratisch. Men vertrouwt dan meer op het bestaan van onderling toe- 
zicht. 

2. gemeenten die wel een formele autorisatieprocedure hebben, maar geen 
specifieke Suwinet-autorisatiematrix. 

3. gemeenten die wel een formele autorisatieprocedure en autorisatiematrix 
Suwinet hebben, maar waar in de autorisatiematrix Suwinet: 

o of geen functies staan vermeld, maar afdelingen, 

o of geen Suwinet-rollen staan vermeld, maar uit te voeren taken in tekst. 

5.2.5 Controle 

Circa een derde van de onderzochte gemeenten voert de controle conform de norm 
uit op een wijze die ook voor de Inspectie is te herleiden. Een voorbeeld hiervan zijn 
gemeenten die steekproefsgewijs periodiek alle opvragingen van persoonsgegevens 
van een medewerker aan de hand van de eigen WWB-populatie controleren en 
eventuele verschillen nader uitzoeken. Ook worden hiervoor de standaard overzich- 
ten van BKWI gebruikt en incidenteel een specifieke rapportage opgevraagd. Van de 
overige gemeenten geeft circa de helft aan de controle aan de hand van de stan- 
daard BKWI overzichten uit te voeren, maar deze kunnen niet aangeven waarop 
precies wordt gelet. Van deze controles zijn in het algemeen geen aantekeningen of 
rapportages beschikbaar, zodat de Inspectie niet kan herleiden hoe deze controles 
hebben plaatsgevonden. In veel gevallen hadden deze gemeenten het door de in- 
spectie gesignaleerde afwijkende zoekgedrag zelf niet geconstateerd en konden zij 
dat ook niet verklaren. In de gevallen dat gemeenten wel een verklaring aandroe- 
gen, is daarvoor door gemeenten geen nadere onderbouwing gegeven. De andere 
gemeenten, circa een derde van het totaal, gaven aan deze controle niet of zeer 
beperkt uit te voeren, of hierbij kwam de inspectie zelf tot deze conclusie. 

Uit de controle van de inspectie of binnen de onderzochte gemeenten gegevens van 
100 willekeurig geselecteerde bekende Nederlanders zijn geraadpleegd, blijkt dat bij 
13 van de 80 onderzochte gemeenten (18%) in 2012 gegevens van deze bekende 
Nederlanders met gebruikmaking van Suwinet-Inkijk zijn geraadpleegd, zonder dat 
hiervoor een goede reden is gegeven. Omdat het hier gaat om een beperkt aantal 
bekende Nederlanders, kan niet worden uitgesloten dat, wanneer de inspectie enke- 
le duizenden bekende Nederlanders geselecteerd zou hebben, dit percentage groter 
zou zijn. 

Een aantal gemeenten geeft aan in het verleden met behulp van de overzichten van 
BKWI, misbruik of oneigenlijk gebruik te hebben geconstateerd en hiertegen maat- 
regelen te hebben genomen. 

Uit gegevens van BKWI blijkt dat 20% van de gemeenten op de peildatum 1 oktober 
2012 het laatste halfjaar geen periodieke rapportage bij BKWI had opgevraagd. 
80% heeft in het halfjaar daarvoor de periodieke rapportage minimaal één keer 
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opgevraagd. 21% van de gemeenten heeft in de periode november 2011 tot en met 
oktober één of meer specifieke rapportages opgevraagd. 

5.2.6 Overzicht getoetste normen 



Onderstaande tabel geeft inzage in de mate waarin de onderzochte gemeenten vol- 
doen aan de zeven door de inspectie getoetste normen inzake de informatiebeveili- 
ging: 





Aantal onderzochte gemeenten 


Percentage van het 
totaal aan tal gemeenten 


Gemeente voldoet aan 7 normen 


3 


4% 


Gemeente voldoet aan 6 nonnen 


3 


4% 


Gemeente voldoet aan 5 nonnen 


8 


10% 


Gemeente voldoet aan 4 normen 


6 


8% 


Gemeente voldoet aan 3 normen 


15 


19% 


Gemeente voldoet aan 2 normen 


9 


11% 


Gemeente voldoet aan 1 norm 


26 


33% 


Gemeente voldoet aan normen 


10 


13% 


Totaal 


80 


100% 31 



5.3 Overige bevindingen 

5.3.1 Suwinet-Inlezen 

Van de 80 gemeenten geven 6 gemeenten aan gebruik te maken van de mogelijk- 
heid van Suwinet-Inlezen, terwijl er dit in de praktijk meer moeten zijn. De BKWI 
website vermeldt dat inmiddels meer dan de helft van de gemeenten gebruik maakt 
van systemen die gegevens kunnen inlezen via Suwinet. Geen van de gemeenten 
heeft op voldoende wijze aangegeven op welke manier de waarborgen voor het vei- 
lig gebruik van Suwinet-Inlezen gestalte hebben gekregen. In alle gevallen ont- 
breekt een sluitende aanpak bij het gebruik van Suwinet-Inlezen. Het is de inspec- 
tie, anders gezegd, niet duidelijk geworden op welke wijze gemeenten de toegangs- 
rechten voor het gebruik van deze gegevens verlenen en hoe zij de controle op het 
gebruik hiervan uitvoeren. 

5.3.2 BKWI: rolopvatting, tools en monitor 

BKWI, een afzonderlijk en herkenbaar onderdeel van UWV, is in de Regeling SUWI 
belast met de inrichting en het technisch beheer van het centrale deel van Suwinet 
en zorgt voor de verdere ontwikkeling ervan. Sinds september 2011 voert BKWI de 
campagne "Zorgvuldig Gebruik Suwinet". Deze campagne heeft BKWI opgezet in 
samenwerking met SZW, Divosa en de Vereniging Nederlandse Gemeenten (VNG) 
om het bewustzijn omtrent privacy en beveiliging bij gemeenten te vergroten. De 
campagne bestaat uit lokaal georganiseerde workshops voor gemeenten, waarin 
BKWI aandacht besteedt aan het belang van zorgvuldig gebruik van Suwinet voor 
burgers en gemeenten en wat er op het gebied van informatiebeveiliging van Suwi- 
net geregeld hoort te zijn. De 'monitor Gebruik Suwinet', die BKWI heeft ontwikkeld, 
speelt bij de campagne een belangrijke rol. Deze geeft voor elke sociale dienst in 
Nederland een indicatie van de wijze waarop Suwinet gebruikt wordt. Hiervoor ge- 
bruikt BKWI een beperkt aantal indicatoren, waarbij de scores worden weergegeven 
in een overzicht per gemeente met groen, oranje of rood. Het overzicht is uitsluitend 
beschikbaar voor de desbetreffende sociale dienst. Daar waar bij een gemeente de 

31 Door afrondingsverschillen tellen de cijfers in deze tabellen op tot 100%. 



Pagina 26 van 41 



De burger bediend in 2013 | oktober 2013 



indicator op rood staat, vindt een persoonlijk gesprek met een van de accountma- 
nagers van BKWI plaats. Voor het geval gemeenten onvoldoende aandacht blijven 
besteden aan een zorgvuldig gebruik van Suwinet, is een escalatieprocedure opge- 
steld in samenwerking met Divosa, VNG en SZW. Tot dusver is de escalatieprocedu- 
re nog niet gehanteerd. Volgens BKWI toonde de monitor aan het eind van de 
campagne in 2012 dat 289 gemeenten van de 415 gemeenten de score op de bevei- 
ligingsindicatoren het afgelopen jaar hebben verbeterd. 

Uit de contacten die de inspectie gedurende de looptijd van dit onderzoek met ge- 
meenten heeft gehad, is naar voren gekomen dat er bij gemeenten veel misverstand 
is over de duiding van de scores op de indicatoren. Een goede score op de monitor- 
indicatoren wil immers niet zeggen dat daarmee wordt voldaan aan het normenka- 
der. In het bijzonder de hoofdconclusie op de monitor, bijvoorbeeld "Status per 1 
oktober 2012, 80% op orde" wordt nogal eens onjuist geïnterpreteerd; gemeenten 
maken hieruit op dat zij met 80% goed presteren op het totale terrein van de infor- 
matiebeveiliging, terwijl het beperkte aantal indicatoren van de monitor slechts een 
zeer beperkt gedeelte van dat terrein bestrijkt. De uitkomsten van de BKWI-monitor 
blijken een ander, gunstiger beeld te geven over de informatiebeveiliging door ge- 
meenten, dan uit het onderzoek van de inspectie naar voren komt. Een voorbeeld 
hiervan is dat de 10 gemeenten waarbij de inspectie constateerde dat aan geen van 
de zeven essentiële normen werd voldaan, gemiddeld 68% op orde scoorden op de 
BKWI-monitor. 

5.3.3 Samenwerking in de uitvoering 

Veel gemeenten werken samen voor wat betreft de uitvoering van de WWB en aan- 
verwante sociale voorzieningen. Onder de 80 gemeenten waarop het onderzoek zich 
heeft gericht, bevonden zich 30 gemeenten die op een of andere manier samenwer- 
ken. Uit haar contacten met gemeenten in de loop van dit onderzoek is bij de in- 
spectie het beeld ontstaan dat deze vormen van samenwerking in veel gevallen tot 
gevolg hebben dat de individuele gemeenten nauwelijks verantwoordelijkheid voelen 
voor de uit wet- en regelgeving voortvloeiende eisen op het gebied van de privacy 
bij de uitvoering van de WWB, omdat zij de verantwoordelijkheid voor de uitvoering 
hebben overgedragen. Volgens de inspectie ontslaat zo'n overdracht een gemeente 
echter niet van de taak om zich ervan te vergewissen dat de overgedragen taak 
naar behoren wordt uitgevoerd, ook waar het gaat om de privacyaspecten daarvan. 

5.4 Conclusies 

De inspectie komt op basis van haar bevindingen tot de conclusie dat 4% van de 
onderzochte gemeenten voldoende waarborgen heeft getroffen om te voldoen aan 
de eisen van vertrouwelijkheid die worden gesteld aan de beveiliging van informatie 
die wordt uitgewisseld binnen het Suwinet in 2012. Omdat de door de inspectie ase- ■ 
lect getrokken steekproef uit het totaal van gemeenten representatief is voor het 
geheel, mag dit cijfer worden doorvertaald naar het geheel van alle gemeenten. 
Bovendien blijkt uit de controle van de inspectie of binnen de onderzochte gemeen- 
ten gegevens van 100 willekeurig geselecteerde bekende Nederlanders zijn geraad- 
pleegd, dat bij 13 van de 80 onderzochte gemeenten (18%) in 2012 gegevens van 
deze bekende Nederlanders met gebruikmaking van Suwinet-Inkijk zijn geraad- 
pleegd, zonder dat hiervoor een goede reden is gegeven. 

Gemeenten hebben inmiddels de mogelijkheid om naast het online opvragen van 
gegevens via Suwinet-Inkijk ook gegevens van burgers op te vragen en direct over 
te nemen in de eigen systemen, het zogenoemde 'Suwinet-Inlezen'. De opvragingen 
via Suwinet-Inlezen worden echter niet gelogd en zijn, nadat deze zijn overgenomen 
in het gemeentelijke systeem, ook vanuit deze omgeving te benaderen. Het is de 
inspectie niet duidelijk geworden op welke wijze gemeenten de toegangsrechten 
voor het gebruik van deze gegevens verlenen en hoe zij controleren op het gebruik. 
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6 Bestuurlijke reacties - naschrift Inspectie 



Samenvatting bestuurlijke reactie UWV 

De Raad van Bestuur UWV geeft aan dat gemeenten, gegeven de uitkomsten van 
het onderzoek naar de beveiliging van het suwinet door gemeenten, adequate maat- 
regelen moeten treffen. De doorlevering van gegevens door gemeenten aan door 
gemeenten ingeschakelde derden verdient daarbij bijzondere aandacht. UWV merkt 
op dat onderzocht zou kunnen worden of beëindiging of opschorting van de levering 
van gegevens een passende maatregel kan zijn om een veilig en correct gebruik van 
via suwinet afgenomen gegevens te bewerkstelligen. Als verantwoordelijke voor het 
beheer en de inrichting van suwinet kan UWV de gemeenten via BKWI ondersteu- 
ning bieden. 

UWV onderschrijft het belang van transparantie in de verwerking van persoonsgege- 
vens. UWV vraagt zich echter af of meer transparantie wordt bereikt door burgers 
actiever te informeren over het inzage en correctierecht, zoals de inspectie SZW 
aangeeft. UWV ziet meer en betere mogelijkheden door transparantie te integreren 
in de actieve dienstverlening aan de burger, zoals de elektronische intake (e-intake). 
UWV geeft aan dat terugmelding plaats vindt in geval van twijfel aan de juistheid 
van een authentiek gegeven. Met de Inspectie is UWV van oordeel, dat terugmel- 
ding van (mogelijke) onjuistheden in niet als authentiek aangewezen gegevens ook 
kan bijdragen aan kwaliteitsverbetering van gegevens. UWV wijst er echter op, dat 
de impact van de afhandeling van terugmeldingen op de processen en systemen van 
de bronhouder zodanig kan zijn, dat de uitvoeringskosten van terugmelding niet in 
verhouding staan tot de te verwachten kwaliteitsverbetering. 

Nawoord inspectie SZW 

Met de inspectie SZW constateert UWV dat gemeenten adequate maatregelen 
dienen te treffen om de beveiliging van suwinet op orde te brengen en dat de 
doorlevering van gegevens bijzondere aandacht verdient. 

Verder onderschrijft UWV met de inspectie SZW het belang van transparantie, maar 
ziet het meer en betere mogelijkheden door transparantie te integreren in de actieve 
dienstverlening aan de burger. De inspectie meent dat dit zeker bijdraagt aan trans- 
parantie, maar vraagt zich af of dit voldoende is. Het is namelijk voor de inspectie 
niet duidelijk geworden hoe volledig het beeld is dat de burger hiermee wordt gege- 
ven van de informatie-uitwisselingen en -bewerkingen. 

De inspectie onderschrijft verder de opvatting van UWV dat de terugmelding van 
een niet als authentiek aangewezen gegeven zinvol en doelmatig dient bij te dragen 
aan de kwaliteitsverbetering van dat gegeven. 

Samenvatting reactie SVB 

De Raad van bestuur van de Sociale Verzekeringsbank (SVB) geeft in zijn reactie 
aan dat hij het belang van hergebruik van gegevens en de voorwaarden daarbij 
onderschrijft. De SVB kan zich met enkele kanttekeningen vinden in de conclusies 
en het oordeel van de inspectie. De SVB geeft aan dat zij prioriteit geeft aan trajec- 
ten voor doorontwikkeling van terugmeldingen en uitbreiding van inzage- en correc- 
tiemogelijkheden. Een zorgpunt van de SVB is beveiliging van Suwinet door ge- 
meenten. De SVB vindt dit belangrijk omdat zij eraan hecht dat aan de SVB toever- 
trouwde persoonsgegevens ook bij hergebruik door gemeenten in veilige handen 
zijn. 
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Naschrift reactie Inspectie SZW 

De inspectie SZW heeft met instemming kennis genomen van de reactie van de 
SVB. 



i 
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Bijlagen: Reacties SVB en UWV 




V Y B Sociale Verzekeringsbank 



Voorzitter Raad van Bestuur 

Van Heuven Goedhartlaan I 

Postbus 1100 

1180 BH Amstelveen 

Telefoon (020) 656 48 1 2 

E-mail: nvermeulen@svb.nl 



Inspectie SZW 

T.a.v. rar. J.A. van den Bos, inspecteur-generaal 

Postbus 11563 

2502 AN DEN HAAG 



datum 

16 augustus 2013 



ons kenmerk 



telefoonnummet 
020 656 4812 



RvB.102/13/NV/ptb 



Betreft: Programmarapportage "De burger bediend in 2013 



Geachte heer Van den Bos, \ 

Met uw brief van 25 juli 2013, kenmerk 2013-0000101342, verzoekt u om een bestuurlijke reactie 
op de conclusies en het oordeel uit de programmarapportage "De burger bediend in 201 3". Met 
deze brief geef ik invulling aan uw verzoek. 

Ik heb met belangstelling kennisgenomen van de rapportage. De SVB onderschrijft het belang van 

hergebruik van gegevens en het invullen van de voorwaarden met betrekking tot transparantie, 

kwaliteitsborging en bescherming van (persoons)gegevens hiervoor binnen de SUWI-keten. 

i 
i 

Ik heb met verontrusting kennisgenomen van uw bevinding dat de beveiliging van Suwinet door 
gemeenten nog steeds niet op orde is. De bezorgdheid die de SVB in eerdere reacties heeft geuit is 
ondanks de diverse inspanningen en onderzoeken van uw inspectie nauwelijks minder geworden. 
De SVB hecht eraan dat haar klanten erop kunnen vertrouwen dat aan de SVB toevertrouwde 
persoonsgegevens ook bij hergebruik door de gemeenten in veilige handen zijn. 

In uw ketenbrede conclusies en oordeel kan de SVB zich met een aantal kanttekeningen vinden. 



De SVB onderschrijft het belang van inzagerecht, correctierecht en transparante verwerking van 
persoonsgegevens voor de burgers en geeft hier ook prioriteit aan, getuige de leidende rol van de 
SVB in het uitdragen van de Burgerpolis als dienstverleningsconcept. Uitgangspunten van de 
Burgerpolis zijn: 

De burger krijgt inzage in zijn bij de overheid opgeslagen gegevens; 

De burger heeft de mogelijkheid om foutieve gegevens te corrigeren; 

De burger wordt persoonlijk benaderd en ontvangt informatie die persoonsgebonden is; 

De burger wordt actief geïnformeerd en tweerichtingsverkeer is mogelijk. 

De SVB geeft invulling aan de Burgerpolis door gegevens die zij van klanten heeft te ontsluiten via 
MijnSVB.nl. Onze klanten kunnen met gebruik van DigiD de bij de SVB bekende 
persoonsgegevens inzien en wijzigingen melden. 
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De SVB maakt haar klanten actief attent op deze mogelijkheid, bijvoorbeeld via het blad Mijn 
AOW dat alle AO W-klanten van de SVB ontvangen,via de internetsite en via radiospots. De SVB is 
onlangs gestart met de doorontwikkeling van MijnSVB.nl. Daarmee wordt onder meer beoogd om 
de inzage- en correctiemogelijkheden uit te breiden. 

De SVB onderschrijft het belang van terugmeldingen voor de kwaliteit van gegevens van basis- en 
andere registraties. De SVB volgt daarbij bij voorkeur het ontwikkelpad van het Stelsel van 
Basisregistraties en in het bijzonder Digimelding. Vooruitlopend op de beschikbaarheid van 
Digimelding zal de SVB op korte termijn aan de GBA gaan terugmelden via de 
terugmeldvoorziening van de GBA (TMV). De SVB meent dat daarmee het aantal terugmeldingen 
sterk kan toenemen en de dienstverlening verder kan verbeteren. 

Ik vertrouw erop u hiermee van dienst te zijn geweest. 




mWj/BS. N.A^ermeulen M 
voorzitter Raad van Bestuur 
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Onderwerp 

Bestuurlijke reactie Programmarapportage De burger bediend in 2013 



Geachte heer van den Bos, 



Met uw brief van 30 augustus 2013 heeft u ons de concept programmarapportage 

■"De burger bediend in 2013' toegezonden met het verzoek bestuurlijk te willen reageren op de 

conclusies en het oordeel zoals geformuleerd door de inspectie. 

In de rapportage gaat de Inspectie in op de beveiliging van Suwinet door gemeenten en de wijze 
waarop de SUWI-partijen invulling geven aan het inzage- en correctierecht, het bevorderen van 
transparantie ten aanzien van persoonsgegevens en op de kwaliteitsborging van persoonsgegevens 
door terugmelding. 

UWV heeft kennis genomen van het oordeel van de Inspectie, dat de basis voor hergebruik van 
uitgewisselde gegevens bij gemeenten nog steeds niet op orde is en van het oordeel van de 
Inspectie over het inzage en correctierecht, de transparantie en de terugmelding door de SUWI- 
partijen. Deze oordelen geven aanleiding tot de volgende reactie. 

De beveiliging van SUWInet door gemeenten 

Het oordeel van de Inspectie, dat de beveiliging van Suwinet door gemeenten onder de maat is, 
geeft aanleiding tot de opmerking, dat de gesignaleerde tekortkomingen geen betrekking hebben 
op (de voorziening) Suwinet als zodanig, maar betrekking hebben op de beveiliging binnen 
gemeenten van de via Suwinet verkregen gegevens. 

Als verstrekker van gegevens aan gemeenten (UWV levert werknemergegevens uit de 
polisadministratie en uitkeringsgegevens) hecht UWV aan een zorgvuldig en correct gebruik door 
gemeenten ten aanzien van de van UWV afgenomen gegevens. Gemeenten zijn op basis van de 
WBP verantwoordelijk voor een juist gebruik van afgenomen gegevens. 
Gegeven de uitkomsten van het onderzoek zullen gemeenten dan ook adequate maatregelen 
moeten treffen voor de beveiliging van de verwerking van de afgenomen gegevens. Mede in het 
licht van de op handen zijnde decentralisatie van taken naar het gemeentelijk domein dienen de 
noodzakelijke maatregelen op afzienbare termijn te worden gerealiseerd. De doorlevering van 
gegevens door gemeenten aan door gemeenten ingeschakelde derden verdient daarbij bijzondere 
aandacht. 

Als verantwoordelijke voor het beheer en de inrichting van SUWInet kan UWV de gemeenten via 
BKWI ondersteuning bieden. 

Voor de toegangsbeveiliging heeft BKWI een gemeenschappelijke faciliteit ingericht, die ter 
beschikking staat van de gemeenten. Gemeenten kunnen desgewenst via een systeem van 
autorisatierollen op maat toegang geven aan medewerkers, zodat zij alleen die gegevens zien die 
zij nodig hebben voor hun taak. BKWI biedt hiermee een raamwerk, waarbinnen gemeenten een 
zorgvuldig gebruik van gegevens kunnen vormgeven. 

Afhankelijk van nadere bestuurlijke afspraken tussen SZW, VNG en UWV kan BKWI ook 
aanvullende faciliteiten aan gemeenten aanbieden om het beveiligingsbeleid, zorgvuldig gebruik en 
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de controle daarop te verbeteren. Dit geldt ook voor de aanpassing van de monitor Suwinet, 
mochten de bevindingen van de inspectie daartoe aanleiding geven. 

Wat betreft het door de inspectie vastgestelde gebrek aan beveiliging van persoonsgegevens bij 
het gebruik van Suwinet-Inlezen kan BKWI desgewenst de gemeenten ondersteunen bij het 
realiseren van een sluitende aanpak voor een veilig gebruik van gegevens, die via Suwinet inlezen 
worden afgenomen. 

SUWI verplicht UWV gegevens te leveren aan gemeenten en kent niet de mogelijkheid de levering 
van gegevens te beëindigen of op te schorten zolang de beveiliging van de verwerking van de 
gegevens niet op orde is of in geval een onjuist gebruik wordt gemaakt van de gegevens. 
Onderzocht zou kunnen worden of beëindiging of opschorting van de levering van gegevens een 
passende maatregel kan zijn om een veilig en correct gebruik van via SUWInet afgenomen 
gegevens te bewerkstelligen. 

Het inzage en correctierecht en transparantie 

Het oordeel van de inspectie, dat SUWI-partijen meer prioriteit moeten geven aan het inzage- en 
correctierecht in de dienstverlening aan burgers en dat transparantie in de praktijk niet van de 
grond komt zonder het actief informeren van de burger, geeft aanleiding tot de volgende 
bemerking. 

UWV onderschrijft het belang van transparantie in de verwerking van persoonsgegevens en het 
belang van het inzage en correctierecht daarbij. Het Digitale Verzekeringsbericht (DVB), waarmee 
werknemers inzage hebben in de bij UWV bekende arbeidsverledengegevens en loongegevens, is 
vanaf 2009 operationeel. Indien een werknemer van oordeel is, dat een gegeven onjuist is, kan hij 
een correctieverzoek indienen. Via UWV.nl worden werknemers geattendeerd op dit inzage en 
correctierecht. 

Het is de vraag of door middel van meer prioriteit aan - sec - het inzage en correctierecht meer 
transparantie in persoonsgegevens voor de burger kan worden bereikt. Naar onze mening leidt de 
integratie van inzage en correctie in de actieve dienstverlening aan de burger wel tot aantoonbaar 
meer transparantie in persoonsgegevens voor de burger. Als voorbeeld noemen wij de 
elektronische intake (e-intake). 

De e-intake vergemakkelijkt niet alleen de aanvraag WW, maar geeft de aanvrager - door de 
voorinvulling met arbeidsverledengegevens en loongegevens - ook optimale inzage in zijn voor de 
aanvraag van uitkering relevante gegevens. De burger ervaart bij het indienen van de aanvraag 
ook het belang van controle van deze gegevens. In geval een gegeven naar zijn oordeel 
aantoonbaar niet juist is, kan hij in de aanvraag verzoeken dat gegeven te corrigeren. 

Terugmelding 

Wat betreft het oordeel van de inspectie, dat SUWI-partijen hun taak ruimer moeten opvatten door 
meer werk te maken van terugmelding aan elkaar bij twijfel aan de juistheid van zowel als 
authentiek (wat wettelijk verplicht is) als niet-authentiek aangewezen gegevens merken wij op, dat 
wij terugmelden conform de geldende wettelijke verplichtingen. Dit betekent, dat wij terugmelden 
in geval van twijfel aan de juistheid van een authentiek gegeven. 
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Met de Inspectie is UWV van oordeel, dat terugmelding van (mogelijke) onjuistheden in niet als 
authentiek aangewezen gegevens ook kan bijdragen aan kwaliteitsverbetering van gegevens. Wij 
wijzen er echter op, dat de impact van de afhandeling van terugmeldingen op de processen en 
systemen van de bronhouder zodanig kan zijn, dat de uitvoeringskosten van terugmelding niet in 
verhouding staan tot de te verwachten kwaliteitsverbetering. 

UWV en Belastingdienst hebben in het kader van de samenwerking in de loonaangifteketen een - 
met terugmelding vergelijkbaar - reactie afhandelingproces ingericht. Deze reactieafhandeling is 
echter uit oogpunt van doelmatigheid beperkt tot slechts enkele voor de dagloonvaststelling 
elementaire gegevens. 



mr. drs. B.J. Bruins 
Voorzitter Raad van Bestuur 



Hoogachtend, 
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Lijst van afkortingen 



AOW Algemene Ouderdomswet 

BKWI Bureau Keteninformatisering Werk en Inkomen 

DKD Digitaal Klant Dossier 

e-WWB WWB-aanvraag via internet 

GBA Gemeentelijke Basisregistratie Persoonsgegevens 

GeVS Gezamenlijke elektronische voorzieningen Suwinet 

KING Kwaliteitsinstituut Nederlandse Gemeenten 

NUP Nationaal Uitvoeringsprogramma Dienstverlening en e-overheid 

RDW Beheerder van de basisregistratie voertuigen in Nederland 

SUWI Structuur uitvoeringsorganisatie werk en inkomen j 

SVB Sociale Verzekeringsbank I 

UWV Uitvoeringsinstituut Werknemersverzekeringen 

VNG Vereniging van Nederlandse Gemeenten 

WBP Wet bescherming persoonsgegevens 

WEU Wet eenmalige gegevensuitvraag werk en inkomen 

WW Werkloosheidswet 

WWB Wet werk en bijstand 
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Publicaties van de Inspectie SZW - directie Werk en Inkomen 



2013 



R13/01 De Sociale Verzekeringsbank; Veranderprogramma SVB Tien 

R13/02 De invloed van ontheffingen op de arbeidsparticipatie van WWB'ers 

R13/03 Regierol gemeenten bij regionaal arbeidsmarktbeleid 

R13/04 Over signaal, sanctie en incasso 

R13/05 Dienstverlening aan oudere (45+) bijstandsgerechtigden 

R13/06 Van schoolgaand kind tot zelfstandig jongere Actief op weg naar werk 

R13/07 Verordeningsplicht gemeenten maatschappelijke participatie kinderen 

R13/08 De burger bediend in 2013 

R13/09 Voor wat hoort wat; Een beschrijving van de uitvoering van de tegenpres- 
tatie naar vermogen door gemeenten 
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